Drift Protocol $280M 漏洞事件：數月的蓄意準備

去中心化交易所 Drift Protocol 表示,其最新的安全漏洞並非隨機事件,而是由結構化威脅行為者網絡執行的長達六個月、高度協調的行動。該公司的初步評估將這次攻擊描述為需要組織支持、大量資源和數月精心準備的情報式活動。外部估計損失約為 2.8 億美元。

Drift 將該計劃追溯至 2025 年 10 月,當時攻擊者偽裝成量化交易公司,在一個主要加密貨幣會議上接觸 Drift 貢獻者,並表示有興趣與該協議進行整合。在接下來的六個月裡,該團隊在多個行業活動中親自與 Drift 貢獻者接觸。Drift 將這種方法描述為針對性的:該團隊成員表現出技術流暢性,擁有可驗證的專業背景,並熟悉 Drift 的運作方式。攻擊者利用面對面會議建立信任,然後使用共享的基於連結的有效載荷和工具來入侵貢獻者的設備,在實施攻擊後清除了他們的痕跡。

重點摘要

• Drift Protocol 漏洞被描述為長達六個月的協調行動,外部損失估計接近 2.8 億美元。
• 調查指向從 2025 年 10 月左右開始的面對面會議時期招募活動,針對 Drift 貢獻者。
• 攻擊者通過惡意連結和工具入侵設備獲得訪問權限,然後在執行後清除了所有活動痕跡。
• Drift 聲稱可能與 2024 年 10 月的 Radiant Capital 駭客事件有關,暗示可能涉及同一批行為者,儘管歸因仍然微妙。
• Radiant Capital 將 2024 年事件描述為透過 Telegram 傳送的惡意軟體,來自偽裝成前承包商的北韓相關駭客;Drift 警告稱,親自出現的個人並非北韓國民。
• 此案例凸顯了加密貨幣會議中持續存在的安全風險,以及與外部合作者接觸時需要加強警惕。

事件時間軸:從會議接觸到攻擊

Drift 的說法表明,攻擊者在一個著名的行業聚會上開始接觸,將自己呈現為潛在的整合合作夥伴,而非公然的攻擊者。在接下來的幾個月裡,該團隊在幾個活動中與 Drift 貢獻者會面,謹慎地建立關係,並展示對 Drift 運作的可信技術理解。這一階段幫助攻擊者獲得了內部管道和可信通訊的訪問權限,這些隨後成為攻擊本身的渠道。

根據 Drift 的說法,該行動是經過精心策劃的,擁有組織支持和資源,使攻擊者能夠維持長期活動。攻擊者最終通過 Drift 貢獻者被入侵的設備部署了惡意工具和連結,實現了漏洞攻擊。在攻擊後,入侵者據報清除了他們的數位足跡,使 Drift 及其合作夥伴的事件響應和取證工作變得複雜。

這次漏洞攻擊為加密貨幣領域的參與者提供了一個警醒的提醒:即使是會議上的面對面互動——通常被視為社交機會——也可能被複雜且資源充足的威脅行為者用作攻擊載體。這種動態凸顯了嚴格設備衛生、分層安全實踐以及在信任結構與互操作性緊密交織的領域中謹慎進行第三方合作的重要性。

Radiant Capital 關聯:潛在線索,但有重要注意事項

Drift 表示,他們對 2024 年 10 月 Radiant Capital 駭客事件背後的同一團隊可能與 Drift 事件有關具有中高度至高度的信心。Radiant Capital 漏洞於 2024 年 12 月披露,該公司將入侵描述為透過 Telegram 傳送的惡意軟體,由偽裝成前承包商的北韓相關行為者所為。在該案例中,據稱在開發人員之間共享以獲取反饋的 ZIP 文件傳送了使入侵成為可能的惡意軟體。

Drift 強調,在會議上親自出現的個人並非北韓國民。該公司還指出,與北韓相關的威脅行為者已知會使用第三方中介進行面對面關係建立,這種模式在其他案例中也有觀察到。這種聯繫仍然是持續調查的事項,複雜網路事件中的歸因通常會隨著新證據的出現而演變。

就背景而言,Radiant Capital 的事件突顯了社會工程和遠端有效載荷如何與面對面信任建立相結合,以破壞甚至複雜的系統。這些敘述的匯聚——基於會議的招募、通過被入侵設備傳送的惡意軟體,以及與先前高調駭客事件的聯繫——將在調查人員拼湊 Drift 漏洞周圍完整事件鏈時受到審查。

持續調查與行業影響

Drift 表示正在與執法部門和其他行業參與者合作,以拼湊出 4 月 1 日攻擊期間發生的完整情況。該公司的披露凸顯了在威脅情報、事件響應和漏洞後取證方面持續需要跨行業合作。雖然 Drift 尚未披露入侵的所有技術細節,但對長期協調努力的強調指向了超越機會主義入侵的複雜程度。

對於 DeFi 領域的投資者和建設者而言,Drift 事件強化了幾個實際啟示。首先,當攻擊者將面對面策略與技術攻擊結合時,即使是長期貢獻者和受信任的關係也不能免於被操縱。其次,複雜活動中的歸因可能是模糊的,需要謹慎的、基於證據的審查,而非過早的結論。最後,這一事件凸顯了對能夠檢測和遏制多階段入侵的強大安全架構的持續需求,包括被入侵的憑證、設備級立足點和攻擊後痕跡。

隨著調查的展開,讀者應關注有關攻擊者方法、新的入侵指標以及 Drift 和其他協議如何處理貢獻者入職、合作夥伴整合和事件響應手冊的任何程序性轉變的更新。多月會議式方法與先前高調漏洞的潛在聯繫的匯聚,強調了去中心化平台在擴展和跨生態系統協作時面臨的更廣泛風險格局。

目前仍不確定的是漏洞對 Drift 用戶和流動性影響的全部程度、平台在運營上恢復的速度,以及額外的歸因案例是否會重塑對 DeFi 領域威脅行為者模式的理解。未來幾週對於一個日益依賴開放協作和跨境合作夥伴關係進行創新的行業而言,在透明度和安全態勢方面都將至關重要。

展望未來,市場參與者將希望關注來自 Drift 和相關安全研究人員的更新,以了解有關行為者、工具以及對 DeFi 治理、風險管理和基於會議的協作實踐的更廣泛影響的任何新發現。

本文最初以 Drift Protocol $280M Breach: Months of Deliberate Preparation 為標題發布於 Crypto Breaking News——您值得信賴的加密貨幣新聞、Bitcoin 新聞和區塊鏈更新來源。